信息安全认证_范文大全

信息安全认证

【范文精选】信息安全认证

【范文大全】信息安全认证

【专家解析】信息安全认证

【优秀范文】信息安全认证

范文一:信息安全概论-认证 投稿:金嗉嗊

信息安全概论

-认证

认证(Authentication)的作用

1:认证就是确认实体(或消息)是它所声明的。

2:认证是最重要的安全服务之一。认证服务提供了关于某个实体身份的保证。(所有其它的安全服务都依赖于该服务)

3:认证可以对抗假冒攻击的危险。

认证的两种情形

1:身份认证:

某一实体确信与之打交道的实体正是所需要的实体。只是简单地认证实体本身的身份,不会和实体想要进行何种活动相联系。

2:消息认证:鉴定某个指定的数据是否来源于某个特定的实体。不是孤立地鉴别一个实体,也不是为了允许实体执行下一步的操作而认证它的身份,而是为了确定被认证的实体与一些特定数据项有着静态的不可分割的联系。

认证小结

1:口令不足以保护重要资源,但具有成本低、易实现等特点。

2:认证令牌,特别是时间令牌,是基于口令的强认证方式。

3:X.509(数字证书)的认证方式是安全的,但依赖于PKI平台。

4:生物特征认证是复杂的,成熟的,有较好的应用前景。

5:消息认证码MAC是安全和高效的。

身份认证的分类

定义:

某一实体确信与之打交道的实体正是所需要的实体。只是简单地认证实体本身的身份,不会和实体想要进行何种活动相联系。

1:单向认证是指通信双方中只有一方向另一方进行认证。

2:双向认证是指通信双方相互进行认证。

身份认证系统的简介

1:一方是出示证件的人,称作示证者P(Prover),又称声称者(Claimant)。

2:另一方为验证者V(Verifier),检验声称者提出的证件的正确性和合法性,决定是否满足要求。 3:一个安全的身份识别协议至少应满足以下两个条件:

(1).示证者A能向验证者B证明他的确是A。

(2).在示证者A向验证者B证明他的身份后,验证者B没有获得任何有用的信息,B不能模仿A向第三方证明他是A。

身份认证的分类

1所知:密码、口令等。

2:所有:身份证、护照、密钥盘、Usb Key等。

3:所是:指纹、笔迹、声音、虹膜、DNA等

口令

1:散列口令认证

2:口令更改

散列口令

1:系统不存储明文。

2:明文不再网上传输。

3:根据摘要无法推出口令。

4:重放攻击。

5:穷举攻击

口令小结

1:口令是当前最常用的认证方式

2:现代口令系统以质询/响应系统和散列密码算法为基础

明文口令不存储在任何地方,系统管理员不知道终端用户口令

3:用户第一次登入时需要更改口令

4:口令事实上是最昂贵的认证方式之一

认证令牌

1:认证令牌是简单口令最常见的替代品。

2:认证令牌就是为每一次认证产生一个用于认证的新值的设备。

3:认证令牌一般是由一个处理器、一个液晶显示屏(LCD)和一块电池组成的。

4:每个令牌都用称为种子唯一值的编程,种子可确保每个令牌产生唯一的输出代码。 5:认证服务器必须知道每个令牌的编程种子数。

6:令牌认证是双因子认证(口令是单因子)。

认证令牌类型

1:质询/响应令牌。

2:时间令牌。

认证令牌小结

1:认证令牌主要有两种类型:质询/响应和时间令牌。

2:认证令牌引入了双因素认证的概念

3:质询/响应令牌看起来很像一个小计算器,有一个液晶显示屏(LCD)和一个小键盘。用户通过小键盘输入质询和PIN。令牌计算出响应并显示在液晶显示屏上,用户把响应输入到登录提示符下。

4:本质上,质询/响应令牌对种子数和质询一起进行散列运算生成一个伪随机数,然后截取该数的部分字符显示在液晶显示屏上。

5:质询/响应令牌和基于口令的质询/响应方案不同在于它需要对产生的伪随机数进行截取。 6:时间令牌看起来好像一个小钥匙装饰物,只有液晶显示屏而没有小键盘。用户只要在登录提示符下输入PIN,紧接着输入令牌产生的伪随机数即可。实质上,时间令牌维护着一个实时时钟,它的输出与种子数一起参加散列运算产生一个伪随机数,然后截取部分字符显示在液晶显示屏上。

7:时间令牌关键在于时钟同步、校对、窗口设置。

尽管我们在这里并没有涉及到,但是确实有一种用软件实现的令牌,运行在PC上,PDA和手机上等,可以把这些设备变成认证令牌。

生物特征认证

1:虹膜识别技术(眼睛中瞳孔内的织物状的各色环状物)

2:视网膜识别技术(激光照射眼球的背面以获得视网膜特征)

3:面部识别技术

4:声音识别技术

5:指纹识别技术

两个重要性能指标

1:错误接受率(False Accept Ratio,FAR)

衡量用户本应该遭到拒绝却被系统接受的可能性。

2:错误拒绝率(False Reject Ratio,FRR)

衡量用户本应该被系统接受却遭到拒绝的可能性。

生物特征认证的优点

1:易用的生物特征的解决方案。一对一匹配一对多匹配

2:基于安全的生物特征解决方案。双因子认证;

3因子认证

消息认证码

1:消息认证码(MAC,Messages Authentication Codes),是与密钥相关的的单向散列函数,也称为消息鉴别码或是消息校验和。

2:MAC与单向散列函数一样,但是还包括一个密钥。不同的密钥会产生不同的散列函数,这样就能在验证发送者的消息没有经过篡改的同时,验证是由哪一个发送者发送的。

范文二:信息安全认证软文 投稿:严譭譮

信息安全认证

日期:2015.11.03

作者:商鼎(北京)国际知识产权代理有限公司

说起信息安全认证,或许了解的人不是很多,那信息安全认证都包括那些的,我在这里给大家介绍一下,信息安全认证有《公安部计算机信息安全产品销售许可证》、《涉密信息系统产品认证》、《军队网络采购信息发布资格认证》、《中国人民解放军信息军用信息安全产品认证》、《中国信息安全认证中心信息安全产品认证》。

这个几个信息安全认证具有共同的特点,就是任何软件、硬件;或软硬件结合的产品都可以做的,尤其是销售到司法部门、政府,军队是一定要做的认证。 做信息安全认证的好处呢?可以增加企业的资质,对企业进行招投标都是由很大的好处的,产品在销售时,会很容易得到客户的认可。

为什么要做信息安全认证呢?是这样的,美国“斯诺登棱镜门”事件后,因为美国监控各个国家政府、企业的情报信息,各国情报信息大量泄漏,因此各国都加强了信息安全防范措施,我国从今年开始大力加强了信息安全认证工作。根据国家“信息安全保护条例”第23条规定信息安全产品必须做完信息安全认证后才能在市场上销售,不知道您公司产品是否做了信息安全认证?如果没做,我可以向您介绍一下相关情况:信息安全产品认证是国家公安部、国家保密局、军队等部门强制推行的安全检测认证。做完认证后1.准许产品在市场上销售不受处罚;2.在国家招投标、政府采购、军队采购的时候拥有国家级权威认证,容易中标;3.增强贵公司产品的技术安全性,使购买者或使用者放心。

如何做信息安全认证呢?信息安全这几个认证是比较麻烦的人,企业一般都不会自己做的,但是找代理,有很多代理也不会做这个认证,而且有的代理做的信息安全认证也不是我所说的这几个人中,目前做这个认证比较好的就是中国知识产权保护平台了,这些认证他们做了有几年了,是比较熟练的,而且公司成立十年,信誉是很有保障的,建议您可以考虑一下。

范文三:国家信息安全产品认证 投稿:钟蠥蠦

国家信息安全产品认证

流程详解

V2.0

中国信息安全认证中心 制

发布日期:二〇一〇年九月八日

目录

1 集中受理 ................................................................................................................................... 1

1.1 集中受理认证流程图 ................................................................................................... 1

1.2 认证申请 ....................................................................................................................... 1

1.2.1 获取申请书 ....................................................................................................... 1

1.2.2 递交申请书 ....................................................................................................... 1

1.2.3 资料审查 ........................................................................................................... 1

1.3 申请方送样 ................................................................................................................... 2

1.3.1 实验室选择 ....................................................................................................... 2

1.3.2 送样原则和数量 ............................................................................................... 2

1.3.3 型式试验及报告提交 ....................................................................................... 2

1.4 申请方缴费 ................................................................................................................... 2

1.5 初始工厂检查 ............................................................................................................... 2

1.6 颁发证书 ....................................................................................................................... 2

1.6.1 认证决定 ........................................................................................................... 2

1.6.2 颁发证书 ........................................................................................................... 2

1.6.3 证书的有效性 ................................................................................................... 2

1.6.4 变更与扩展申请 ............................................................................................... 2

1.6.5 证书的暂停、注销和撤消 ............................................................................... 2

1.7 证后监督 ....................................................................................................................... 2

1.7.1 监督的频次 ....................................................................................................... 2

1.7.2 监督的内容 ....................................................................................................... 3

1.7.3 获证后监督结果的评价 ................................................................................... 3

分段受理 ................................................................................................................................... 4 2

1 集中受理

1.1 集中受理认证流程图

集中受理认证流程如下图所示:

图1:集中受理认证流程图

1.2 认证申请

1.2.1 获取申请书

1) 从中国信息安全认证中心网站(http://www.isccc.gov.cn/)资料中心下载。

2) 向中国信息安全认证中心索取。

1.2.2 递交申请书

向中国信息安全认证中心提交认证申请书(包括申请书所要求的其他资料)纸质版1式2份,电子版1份。

含有密码技术的产品应向国家密码管理局指定检测实验室提交密码技术检测申请。 拟用于涉密信息系统的产品,按照国家有关保密规定和标准执行,不适用本申请指南。

1.2.3 资料审查

中国信息安全认证中心在收到申请资料后对其进行审查,如果资料不符合要求,申请方

应按要求修改或补充;如果资料符合要求,进行单元划分。

单元划分完成后,中国信息安全认证中心向申请方发出送样通知。

1.3 申请方送样

1.3.1 实验室选择

申请方从指定实验室名单中,根据指定实验室的业务范围,自主选取检测实验室。指定实验室及业务范围参见中国国家认证认可监督管理委员会公告(2009年第25号)。

1.3.2 送样原则和数量

详见各个产品的认证实施规则。

1.3.3 型式试验及报告提交

检测实验室完成检测后,将型式试验报告提交至中国信息安全认证中心。

1.4 申请方缴费

申请方收到缴费通知后,向中国信息安全认证中心缴纳认证费用(不包括实验室检测费用)。

1.5 初始工厂检查

工厂检查依据各个产品的认证实施规则进行,工厂检查包括信息安全保证能力、质量保证能力和产品一致性检查。

1.6 颁发证书

1.6.1 认证决定

中国信息安全认证中心依据相关标准和规范对申请资料、型式试验报告和工厂检查报告等进行综合评价,作出认证决定。

1.6.2 颁发证书

证书制作完毕后,申请方可以自行到中国信息安全认证中心领取或委托中国信息安全认证中心邮寄。同时,证书信息将在中国信息安全认证中心网站予以公告。

1.6.3 证书的有效性

证书有效期为5年,证书有效期内,证书的有效性依据发证机构的定期监督获得维持。

1.6.4 变更与扩展申请

详见各个产品的认证实施规则。

1.6.5 证书的暂停、注销和撤消

详见各个产品的认证实施规则。

1.7 证后监督

证书有效期为5年。在有效期内,通过每年对获证后的产品进行监督确保认证证书的有效性。

1.7.1 监督的频次

从获证后第12个月起进行第一次获证后监督,此后每12个月进行一次获证后监督。必要情况下,认证机构可采取事先不通知的方式对生产厂实施监督。必要时可增加监督频次,详见各个产品的认证实施规则。

1.7.2 监督的内容

获证后监督的方式采用信息安全保证能力与质量保证能力的复查和认证产品一致性检查。必要时可以抽取样品送实验室检测,具体操作办法详见各个产品的认证实施规则。

1.7.3 获证后监督结果的评价

监督复查合格后,可以继续保持认证证书、使用认证标志。对监督复查时发现的不符合项应在3个月内完成纠正措施。逾期将撤销认证证书、停止使用认证标志,并对外公告。

2 分段受理

申请方从指定实验室名单中,根据指定实验室的业务范围,自主选取检测实验室(指定实验室及业务范围参见中国国家认证认可监督管理委员会公告(2009年第25号)。检测实验室在完成单元划分、型式试验后向中国信息安全认证中心提交型式试验报告。型式试验报告经中国信息安全认证中心确认合格后,申请方向中国信息安全认证中心提交认证申请资料。

分段受理认证流程如下图所示:

图2:分段受理认证流程图

范文四:信息安全认证申请表 投稿:邹剎剏

申请编号:

信息安全管理体系认证

申 请 书

初次认证

申请组织名称(盖章):

申请日期:

中国信息安全认证中心

再认证 变更

1 申请组织信息(初次申请填写)

1.1 基本信息

申请组织全称(中文): ;

申请组织全称(英文): 。

地址(邮编)(中文): ;

地址(邮编)(英文): 。

网址: ;

法人代表: ;管理者代表: ;

联系人: 电话: 手机: 传真:

E-mail: 。

1.2 申请认证所需信息

1.2.1 申请组织的总人数为 人,申请认证的管理体系所覆盖人数为 人,

覆盖的场所共 处,其中不在同一地点的有 处,请列出全部地点名称:

1.2.2 组织主营业务范围: ;管理体系所覆盖的业务范围 。

1.2.3管理体系试运行情况:

开始运行时间: 年 月 日;

完成内审时间: 年 月 日; 是否完成管理评审: 是, 年 月 日;

否。

1.2.4 是否申请安排预审核?

是,希望时间为 年 月 日;

否。

1.2.5 希望正式认证审核时间为: 年 月 日。

1.2.6 审核所用语言: 中文 英文 其它: 。

是, 否。 1.2.7 是否可安排在周六、周日进行现场审核?

办公时间:上午: - 下午: - 。

2 申请认证所需提供的材料

2.1 组织法律证明文件,如营业执照及年检证明复印件;

2.2 组织机构代码证书复印件;

2.3 申请认证体系有效运行的证明文件(如体系文件发布控制表,有时间标记的记录等复印

件);

2.4 申请组织简介:

2.4.1组织简介(1000字左右);

2.4.2 申请组织的主要业务流程;

2.4.3 组织机构图或职能表述文件;

2.5申请组织的体系文件,需包含但不仅限于(可以合并):

(1)ISMS方针文件;

(2)风险评估程序;

(3)适用性声明;

(4)风险处理程序;

(5)文件控制程序;

(6)记录控制程序;

(7)内部审核程序;

(8)管理评审程序;

(9)纠正措施与预防措施程序;

(10)控制措施有效性的测量程序;

(11)职能角色分配表;

(12)整个体系文件结构与清单。

2.6 申请组织体系文件与GB/T 22080-2008/ISO/IEC 27001:2005要求的文件对照说明;

2.7 申请组织内部审核和管理评审的证明资料;

2.8 申请组织记录保密性或敏感性声明;

2.9 中国信息安全认证中心要求申请组织提交的其他补充资料。

3 申请变更所需提供的材料

3.1 组织法律证明文件,如营业执照及年检证明复印件;

3.2 组织机构代码证书复印件

3.3 原体系认证证书复印件;

3.4 组织简介(1000字左右);

3.5 组织机构图或职能表述文件;(特别注明与上次认证的变更情况)

3.6 组织人员变化情况

原有人员数 现有人员数

3.7 地址变更情况 ;

3.8 组织主营业务变更情况(多项业务分开说明,含流程图和说明);

3.9 申请组织的体系文件,需包含但不限于(可以合并)(有变更的文件必须提供):

文件目录见2.5

3.10 变更原因说明: 。

4 申请再认证所需提供的材料

4.1 组织法律证明文件,如营业执照及年检证明复印件;

4.2 组织机构代码证书复印件

4.3 原体系认证证书复印件;

4.4 组织简介(1000字左右);

4.5 组织机构图或职能表述文件;(特别注明与上次认证的变更情况)

4.6 组织人员变化情况

原有人员数 现有人员数

4.7 地址变更情况 。

4.8 组织主营业务变更情况(多项业务分开说明,含流程图和说明);

4.9 申请组织的体系文件,需包含但不限于(可以合并)(有变更的文件必须提供):

文件目录见2.5

4.10是否有需要特别说明的情况是: 是; ,

否。

5 其它

5.1 申请组织是否已获得其他体系认证?

否;

是,请填写下列信息:

已获得认证的体系名称 通过时间 认证机构名称

年 月 日 ;

年 月 日 ;

年 月 日 。

5.2 申请组织在申请认证前,是否已经通过相关咨询公司进行咨询?

否;

是,请填写下列信息:

咨询时间: 年 月至 年 月

咨询机构名称: 。

5.3 组织一年内是否有发生重大事故的情况及发生违反与认证的体系相关的国家法律法规的情况?

否;

是,请说明情况: 。

5.4 其他需要说明的问题: 。

6 备注

(1)申请时请提交所有资料纸版1份和电子版1份(WORD格式)。

(2)联系信息:

Tel:010-65994351/4341 Fax:010-65994276 E-mail: 北京市朝阳区朝外大街甲10号中认大厦11层 (100020)

范文五:信息安全的威胁及认证方法 投稿:金蚝蚞

信息安全的威胁及认证方法

在电子商务飞速发展的今天,各种新业务不断开通,这样带来的安全问题也越来越普遍。其中利用身份认证技术,可以解决一些重要的安全问题,诸如身份的真实性识别、数据的完整性检测等。随着信息安全技术的不断发展,认证技术也经历了从简单到复杂的发展过程,出现了由静态(固定)口令到动态(可变)口令的变化。随着安全问题的不断出现和复杂化,认证技术也出现了多种技术的融合,产生了更为成熟复杂的认证方法。然而每种认证方法不是万能的,不同的认证方法基于不同的认证机制,从而所防范的安全漏洞的侧重点也不相同。下面北京联华中安信息技术有限公司的专家带我们分析一些常见的安全威胁及认证方法。

一、网络安全面临的问题

(1)网络协议和软件的安全缺陷

因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。

(2)黑客攻击手段多样

进人2006年以来,网络罪犯采用翻新分散式阻断服务(DDOS)攻击的手法,用形同互联网黄页的域名系统服务器来发动攻击,扰乱在线商务。宽带网络条件下,常见的拒绝服务攻击方式主要有两种,一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击;二是用蠕虫病毒等新的攻击方式,造成网络流量急速提高,导致网络设备崩溃,或者造成网络链路的不堪负重。

(3)计算机病毒

计算机病毒是专门用来破坏计算机正常工作,具有高级技巧的程序。它并不独立存在,而是寄生在其他程序之中,它具有隐蔽性、潜伏性、传染性和极大的破坏性。随着网络技术的不断发展、网络空间的广泛运用,病毒的种类急剧增加。目前全世界的计算机活体病毒达14万多种,其传播途径不仅通过软盘、硬盘传播,还可以通过网络的电子邮件和下载软件传播。只要带病毒的电脑在运行过程中满足设计者所预定的条件,计算机病毒便会发作,轻者造成速度减慢、显示异常、丢失文件,重者损坏硬件、造成系统瘫痪。

(4)计算机网络和软件核心技术不成熟

我国信息化建设过程中缺乏自主技术支撑。计算机安全存在三大黑洞:CPU芯片、操作系统和数据库、网关软件大多依赖进口。信息安全专家、中国科学院高能物理研究所研究员许榕生曾一针见血地点出我国信息系统的要害:“我们的

网络发展很快,但安全状况如何?现在有很多人投很多钱去建网络,实际上并不清楚它只有一半根基,建的是没有防范的网。有的网络顾问公司建了很多网,市场布好,但建的是裸网,没有保护,就像房产公司盖了很多楼,门窗都不加锁就交付给业主去住。”我国计算机网络所使用的网管设备和软件基本上是舶来品,这些因素使我国计算机网络的安全性能大大降低,被认为是易窥视和易打击的 “玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。

(5)安全意识淡薄

目前,在网络安全问题上还存在不少认知盲区和制约因素。网络是新生事物,许多人一接触就忙着用于学习、工作和娱乐等,对网络信息的安全性无暇顾及,安全意识相当淡薄,对网络信息不安全的事实认识不足。与此同时,网络经营者和机构用户注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求。总体上看,网络信息安全处于被动的封堵漏洞状态,从上到下普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。整个信息安全系统在迅速反应、快速行动和预警防范等主要方面,缺少方向感、敏感度和应对能力。

二、常见的几种安全威胁及应对措施的建议

1.中断型

这可能因为信道异常,或所在网络繁忙时,认证消息不能及时到达目的地,从而造成无法完成认证的后果。可以说这种情况对各种认证方法都有影响,因此在设计认证协议时要充分考虑这种情况带来的安全隐患。应主要避免以下几种情况:

(1)要有认证服务超时的提示机制;

(2)在有效的认证服务期限内,中断后认证信息可能被第三方获得,如果继续转发从而可能通过认证。可通过密码技术和设计有效的认证协议,保证在对这种情况下,使第三方没法造成危害。例如通过序列号,唯一标识符等方法。

2.截获型

这种情况是认证信息在传输过程中被人通过监听、打线等手段截获,从而实施重传攻击。这样可造成未授权者通过认证,其后果也是很严重的。这种情况下可通过序列号,存储每次认证的唯一标识符等方法来建立消息新鲜的机制。

3.篡改型

这种情况比起第二种难度大,但它可造成的危害也很大,认证信息在传输中被截获且能被篡改,从而达到截获者自己的目的或使得合法的用户不能通过认证。可以说这种威胁实施起来有难度,一旦实现,造成的危害显然也是很大的。因此

在设计认证方案时,一定要考虑这个因素,结合使用数字签名技术、MAC码校验来防范这一漏洞。

4.伪装型

这种情况是第三方能伪造合法的认证信息,然后这个非授权者就可获得授权者相同的权利进行访问系统或获得相应的授权服务。这要求认证用户及服务器本身的相关认证信息要安全存取、传输,不泄露能进行伪造的可用信息。

三、常用认证方法

第一个是最早使用的简单口令认证技术。即对服务器或一些授权访问的文件、数据库或系统,每个合法用户都有一个固定的访问口令,被访问的系统都保存有各个合法用户的ID和相应的口令。每次登录时用户输入各自的用户ID、相应的口令,被登录对象经过比较如果登录者提供的登录信息与它存储的相匹配,则认为是合法的,否则拒绝访问。这是一种固定(静态)口令,安全性很低。因其简单实用,方便,故在一些安全级别要求很低的情况下,还有一定的应用范围。较低的安全性表现在很容易被口令猜测攻破,特别在网络上传输时无法防止重传攻击。

第二个是比较传统的挑战应答式方法(challenge/response)。服务器与客户端共享用户密钥(1iar key),使用相同的可逆加密算法。每次客户发送请求登录后,服务器发给客户一个随机产生的挑战(challenge)消息,客户端用两端共享密钥及加密算法,对挑战作加密处理,产生相应的一个应答(response)消息,发送给服务器;服务器收到该回应,对该回应用共享的密钥及加密算法做解密处理,恢复出所产生的挑战。如果恢复的挑战和服务器所送出的一致,就通过认证,最后服务器返回确认信息,说明用户合法;否则拒绝服务。比较著名的一个挑战应答式方案是:S/KEY One-timePassword System。这种方法实际上实现了动态口令的要求。因为每次请求认证的信息是基于随机产生的数据,所以每次认证的信息都是不同的。这在很大程度上防止了重传攻击,显然猜测口令的攻击方法几乎不可能,截获型攻击的任何修改都会被发觉,要伪装合法用户的难度也很大。这种方法的局限性也很明显,只是适用于面向连接的情形。在面向无连接的情况下,因为其交互次数太多而不利于进行认证。在一些比较极端的情况下,也可能实施重传攻击。

第三种方法是由麻省理工学院开发的Kerberos认证系统。该系统俗称为“三次看门狗”,是一种分布式认证服务模式,它主要是针对面向连接的。根据第一次建立连接的口令,产生进行认证的密钥信息,首先向密钥分发中心(KDC)服务器发出服务请求1;密钥分发中心(KDC)验证口令通过后,分发客户向服务使用许可证书服务器(TGS)发出请求的密钥及客户获得服务使用许可证书的认证信息2;然后客户向服务使用许可证书服务器(TGS)发出请求3;服务使用许可证书服

务器(TGS)验证通过后,发送该服务的密钥给客户4;接着客户才能使用这种服务5。这种方法主要用于防止恶意破坏。其关键是密钥分发中心(KDC)安全服务器,还有其售票服务器(TGS)发放服务使用许可证。这种方法在一定程度上实现了动态口令,在满足它的实现的条件下,是一种很有效的方法。这种认证方式中双方交互的次数远远大于其他情况,同样对于面向无连接的情况更是不利的,局限性也很明显。由于该系统在一定的时间范围内各方共享的密钥是基于一个固定的口令,有可能被简单的口令猜测攻破,而且该方法的应用有一个前提是信道的安全性,因为要将通过口令产生的密钥需在线地传给各方。因此这种方法的选用要充分考虑网络的运行情况。以上几种常见的认证方法都属于无第三方仲裁的认证模型。除了以上列出的几种外,还可以应用密码学上的对称密码体制例如DES、AES等或者SHA-1、MD5等设计出基于MAC码的认证协议。这种认证协议可以根据具体的系统需要,进行灵活设计。

第四种方法是有第三方仲裁的模式,PKI的认证方法。假设A要向B发送数据,A先从认证中心(CA)中获得B的公钥pbk,并自己产生一个密钥K,用K加密所传输的数据,得到cl,用B的公钥pkb加密K得到c2,将cl和c2一起发送给B,B得到cl、c2后,先用自己的私钥pvk解开c2,得到加密数据的密钥K,然后用K解密cl得到所要的数据。这是基于PKI模式的简单的交互过程。在实际应用中会利用这种结构根据实际需要设计相应的认证协议, 例如Feige-Fiat—Shamir协议、Schno协议、Okamoto协议等。这种方法是通过建立认证中心(CA),在公钥密码、对称密码、数字签名及数字证书的基础上,近几年来快速发展和广泛应用的一种认证方法。但这种方法所需要的投入成本比较高,技术门槛也很高,并且取得建设这种认证系统的资格有严格限制,需经过行业总体规范和政府职能部门允许。因此对于一些小型系统的开发并不适合。另外还有很多基于密码学中数字签名技术设计的、很有效的认证方案,限于篇幅不再一一列出。

无论哪种技术都不可能避免各种安全威胁,而每种技术可能侧重于防范某一种或几种安全威胁。没有绝对安全的系统,但可以设计尽可能完善的认证技术,最大程度上防止这些安全威胁。通过以上分析,北京联华中安信息技术专家希望读者能对认证方法及其可能的安全漏洞有所了解,并在实际应用中选择适合具体情况的认证方法。

范文六:网络信息安全认证 投稿:任皍皎

网络信息安全认证

摘要:

由当前网络信息存在的一些安全问题引出信息认证方式,主要介绍了四种信息认证方式:简单口令认证技术、挑战应答认证方式、Kerberos认证系统、有第三方仲裁的模式。 关键词:

中断型、截获型、篡改型、伪装型、简单口令认证技术、挑战应答认证、Kerberos认证系统、有第三方仲裁的模式

在电子商务飞速发展的今天,各种新业务不断开通,这样带来的安全问题也越来越普遍。其中利用身份认证技术,可以解决一些重要的安全问题,诸如身份的真实性识别、数据的完整性检测等。随着信息安全技术的不断发展,认证技术也经历了从简单到复杂的发展过程,出现了由静态(固定)口令到动态(可变)口令的变化。随着安全问题的不断出现和复杂化,认证技术也出现了多种技术的融合,产生了更为成熟复杂的认证方法。然而每种认证方法不是万能的,不同的认证方法基于不同的认证机制,从而所防范的安全漏洞的侧重点也不相同。下面就分析一些常见的安全威胁及认证方法。

一、网络安全面临的问题

(1)网络协议和软件的安全缺陷

因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。

(2)黑客攻击手段多样

进人2006年以来,网络罪犯采用翻新分散式阻断服务(DDOS)攻击的手法,用形同互联网黄页的域名系统服务器来发动攻击,扰乱在线商务。宽带网络条件下,常见的拒绝服务攻击方式主要有两种,一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击;二是用蠕虫病毒等新的攻击方式,造成网络流量急速提高,导致网络设备崩溃,或者造成网络链路的不堪负重。

(3)计算机病毒

计算机病毒是专门用来破坏计算机正常工作,具有高级技巧的程序。它并不独立存在,而是寄生在其他程序之中,它具有隐蔽性、潜伏性、传染性和极大的破坏性。随着网络技术的不断发展、网络空间的广泛运用,病毒的种类急剧增加。目前全世界的计算机活体病毒达14万多种,其传播途径不仅通过软盘、硬盘传播,还可以通过网络的电子邮件和下载软件传播。只要带病毒的电脑在运行过程中满足设计者所预定的条件,计算机病毒便会发作,轻者造成速度减慢、显示异常、丢失文件,重者损坏硬件、造成系统瘫痪。

(4)计算机网络和软件核心技术不成熟

我国信息化建设过程中缺乏自主技术支撑。计算机安全存在三大黑洞:CPU芯片、操作系统和数据库、网关软件大多依赖进口。信息安全专家、中国科学院高能物理研究所研究员许榕生曾一针见血地点出我国信息系统的要害:“我们的网络发展很快,但安全状况如何?现在有很多人投很多钱去建网络,实际上并不清楚它只有一半根基,建的是没有防范的网。有的网络顾问公司建了很多网,市

场布好,但建的是裸网,没有保护,就像房产公司盖了很多楼,门窗都不加锁就交付给业主去住。”我国计算机网络所使用的网管设备和软件基本上是舶来品,这些因素使我国计算机网络的安全性能大大降低,被认为是易窥视和易打击的 “玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。

(5)安全意识淡薄

目前,在网络安全问题上还存在不少认知盲区和制约因素。网络是新生事物,许多人一接触就忙着用于学习、工作和娱乐等,对网络信息的安全性无暇顾及,安全意识相当淡薄,对网络信息不安全的事实认识不足。与此同时,网络经营者和机构用户注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求。总体上看,网络信息安全处于被动的封堵漏洞状态,从上到下普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。整个信息安全系统在迅速反应、快速行动和预警防范等主要方面,缺少方向感、敏感度和应对能力。

二、常见的几种安全威胁及应对措施的建议

1.中断型

这可能因为信道异常,或所在网络繁忙时,认证消息不能及时到达目的地,从而造成无法完成认证的后果。可以说这种情况对各种认证方法都有影响,因此在设计认证协议时要充分考虑这种情况带来的安全隐患。应主要避免以下几种情况:

(1)要有认证服务超时的提示机制;

(2)在有效的认证服务期限内,中断后认证信息可能被第三方获得,如果继续转发从而可能通过认证。可通过密码技术和设计有效的认证协议,保证在对这种情况下,使第三方没法造成危害。例如通过序列号,唯一标识符等方法。

2.截获型

这种情况是认证信息在传输过程中被人通过监听、打线等手段截获,从而实施重传攻击。这样可造成未授权者通过认证,其后果也是很严重的。这种情况下可通过序列号,存储每次认证的唯一标识符等方法来建立消息新鲜的机制。

3.篡改型

这种情况比起第二种难度大,但它可造成的危害也很大,认证信息在传输中被截获且能被篡改,从而达到截获者自己的目的或使得合法的用户不能通过认证。可以说这种威胁实施起来有难度,一旦实现,造成的危害显然也是很大的。因此在设计认证方案时,一定要考虑这个因素,结合使用数字签名技术、MAC码校验来防范这一漏洞。

4.伪装型

这种情况是第三方能伪造合法的认证信息,然后这个非授权者就可获得授权者相同的权利进行访问系统或获得相应的授权服务。这要求认证用户及服务器本身的相关认证信息要安全存取、传输,不泄露能进行伪造的可用信息。

三、常用认证方法

第一个是最早使用的简单口令认证技术。即对服务器或一些授权访问的文件、数据库或系统,每个合法用户都有一个固定的访问口令,被访问的系统都保存有各个合法用户的ID和相应的口令。每次登录时用户输入各自的用户ID、相应的口令,被登录对象经过比较如果登录者提供的登录信息与它存储的相匹配,则认为是合法的,否则拒绝访问。这是一种固定(静态)口令,安全性很低。因其简单实用,方便,故在一些安全级别要求很低的情况下,还有一定的应用范围。较低的安全性表现在很容易被口令猜测攻破,特别在网络上传输时无法防止重传攻击。

第二个是比较传统的挑战应答式方法(challenge/response)。

如图1所示

服务器与客户端共享用户密钥(1iar key),使用相同的可逆加密算法。每次客户发送请求登录后,服务器发给客户一个随机产生的挑战(challenge)消息,客户端用两端共享密钥及加密算法,对挑战作加密处理,产生相应的一个应答(response)消息,发送给服务器;服务器收到该回应,对该回应用共享的密钥及加密算法做解密处理,恢复出所产生的挑战。如果恢复的挑战和服务器所送出的一致,就通过认证,最后服务器返回确认信息,说明用户合法;否则拒绝服务。比较著名

的一个挑战应答式方案是:S/KEY One-timePassword System。这种方法实际上实现了动态口令的要求。因为每次请求认证的信息是基于随机产生的数据,所以每次认证的信息都是不同的。这在很大程度上防止了重传攻击,显然猜测口令的攻击方法几乎不可能,截获型攻击的任何修改都会被发觉,要伪装合法用户的难度也很大。这种方法的局限性也很明显,只是适用于面向连接的情形。在面向无连接的情况下,因为其交互次数太多而不利于进行认证。在一些比较极端的情况下,也可能实施重传攻击。

第三种方法是由麻省理工学院开发的Kerberos认证系统。

如图2所示

该系统俗称为“三次看门狗”,是一种分布式认证服务模式,它主要是针对面向连接的。根据第一次建立连接的口令,产生进行认证的密钥信息,首先向密钥分发中心(KDC)服务器发出服务请求1;密钥分发中心(KDC)验证口令通过后,分发客户向服务使用许可证书服务器(TGS)发出请求的密钥及客户获得服务使用许可证书的认证信息2;然后客户向服务使用许可证书服务器(TGS)发出请求3;服务使用许可证书服务器(TGS)验证通过后,发送该服务的密钥给客户4;接着客户才能使用这种服务5。这种方法主要用于防止恶意破坏。其关键是密钥分发中心(KDC)安全服务器,还有其售票服务器(TGS)发放服务使用许可证。这种方法在一定程度上实现了动态口令,在满足它的实现的条件下,是一种很有效的方法。这种认证方式中双方交互的次数远远大于其他情况,同样对于面向无连接的情况更是不利的,局限性也很明显。由于

该系统在一定的时间范围内各方共享的密钥是基于一个固定的口令,有可能被简单的口令猜测攻破,而且该方法的应用有一个前提

是信道的安全性,因为要将通过口令产生的密钥需在线地传给各方。因此这种方法的选用要充分考虑网络的运行情况。以上几种常见的认证方法都属于无第三方仲裁的认证模型。除了以上列出的几种外,还可以应用密码学上的对称密码体制例如DES、AES等或者SHA-1、MD5等设计出基于MAC码的认证协议。这种认证协议可以根据具体的系统需要,进行灵活设计。

第四种方法是有第三方仲裁的模式,PKI的认证方法。

如图3所示

假设A要向B发送数据,A先从认证中心(CA)中获得B的公钥pbk,并自己产生一个密钥K,用K加密所传输的数据,得到cl,用B的公钥pkb加密K得到c2,将cl和c2一起发送给B,B得到cl、c2后,先用自己的私钥pvk解开c2,得到加密数据的密钥K,然后用K解密cl得到所要的数据。这是基于PKI模式的简单的交互过程。在实际应用中会利用这种结构根据实际需要设计相应的认证协议, 例如Feige-Fiat—Shamir协议、Schno协议、Okamoto协议等。这种方法是通过建立认证中心(CA),在公钥密码、对称密码、数字签名及数字证书的基础上,近几年来快速发展和广泛应用的一种认证方法。但这种方法所需要的投入成本比较高,技术门槛也很高,并且取得建设这种认证系统的资格有严格限制,需经过行业总体规范和政府职能部门允许。因此对于一些小型系统的开发并不适合。另外还有很多基于密码学中数字签名技术设计的、很有效的认证方案,限于篇幅不再一一列出。

无论哪种技术都不可能避免各种安全威胁,而每种技术可能侧重于防范某一种或几种安全威胁。没有绝对安全的系统,但可以设计尽可能完善的认证技术,最大程度上防止这些安全威胁。通过以上

分析,希望读者能对认证方法及其可能的安全漏洞有所了解,并在实际应用中选择适合具体情况的认证方法。

参考文献

1.《安全漏洞分析》------ 赵义斌、牛少彰、杨义先

2、《网络安全面临的问题》

范文七:信息安全等级保护与分级认证 投稿:苏蒗蒘

信息安全等级保护与分级认证

中国信息安全产品测评认证中心

陈晓桦

一、走近我国信息安全测评认证

什么是信息安全测评认证?首先我们需要了解测试、评估、认证这三个相互关联却实质各异的概念。

测试是一种技术操作,它按规定的程序对给定的产品、材料、设备等一种或多种特性进行判定;评估是对测试/检验产生的数据进行分析,形成结论的一种技术活动,由于目前计算机技术和自动化工具的发展,测试和评估往往是合为一体的。认证是指第三方依据程序对产品、过程或服务符合规定的要求给予书面保证(证书),用于评价产品质量和企业质量管理水平。认证以标准和测试、检验、评估的结果为依据。具体到信息安全测评认证,测评是指专门的机构根据一定的标准,通过对信息安全产品和信息系统进行测试和评估,确定产品或者系统能够达到安全级别可信程度。测评包括生产商自我测试与评估、用户测试、专家鉴定会、第三方测评等多种类型,是检验产品好坏和是否安全的根本手段。相对来说,来自第三方的测评是比较科学和客观的。信息安全的认证是代表国家对达到评价标准和标准要求的产品和系统进行的一种独立于用户和厂商之间的第三方的认可活动,表明其特点和功能达到了规定的要求。

信息安全测评认证具有重要的意义,它能促进信息技术产业的进步与成熟;提高信息技术产品的市场竞争力,帮助厂家发现问题,用更高更严的标准来要求制作,提升厂家的开发能力;有利于国家对信息安全产业和市场准入进行管理,合格产品的市场进入与流通,以及政府采购中产品安全性的保证;推动信息安全技术和标准化的进程。

在我国,经中央批准成立、国家质量监督检验检疫总局授权,中国信息安全产品测评认证中心代表国家开展信息安全测评认证工作,并依据国家有关产品质量认证和信息安全管理的法律法规,管理和运行国家信息安全测评认证体系。 目前,中国信息安全产品测评认证中心开展的认证业务主要包括以下四个方面:信息安全产品认证,信息系统安全认证、信息安全服务资质认证和注册信息

安全专业人员资质认证。主要的技术依据和方法包括:信息技术安全性评估准则(也称为通用评估准则,简称CC,等同于国际标准 ISO/IEC15408)、信息技术安全通用评估方法(CEM)、信息系统安全等级保障评估标准(SCC)、信息安全服务资质评估标(SPC)、信息安全专业人员注册准则,以及国家认证认可管理委员会批准的与安全技术、规范等相关的技术要求文件及其它国内外相关标准等。

产品认证:信息安全产品认证主要分为型号认证和分级认证两种。其中分级认证根据相应的标准又分成7个级别。中国信息安全产品测评认证中心目前开展的是1到5级的认证。其中,对电信智能卡的认证已达到5级,其他安全产品目前最高达到3级。

系统安全认证:系统安全认证的技术标准分为5个级别,目前,我们从技术、工程、管理和综合等方面开展了两个级别的系统认证工作。在实施过程中,主要分为方案评审、系统测评、系统认证等三个方面。其中,方案评审是为确定特定信息系统是否达到标准的安全性设计要求;系统测评是对运行中的信息系统的安全功能的技术测试、对信息系统安全技术和管理体系的调查取证和对特定系统运行情况是否达到标准的安全要求的评估;最后进行的系统的认证是对运行系统的组织管理体系的审核。

信息安全服务资质认证:信息安全服务资质认证主要是对信息安全系统服务提供商的资格状况、技术实力和实施安全工程过程质量保证能力等进行具体衡量和评价。服务资质认证的技术标准最高为五级,目前认证中心已开展1级和2级两个级别的认证。

信息安全人员资质认证:信息安全人员资格认证(简称CISP),是中国信息安全产品认证中心创立的一个品牌,它是对国家信息安全测评认证机构、信息安全咨询服务机构、社会各组织、团体、企业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的对信息系统的安全提供技术保障的专业岗位人员——“注册信息安全专业人员”的一种认证,是我国信息安全界的一种权威性的人员认证,主要包括CISO(管理者)、CISE(工程师)、CISA(审核员)等。多年来,中国信息安全产品测评认证中心在国内信息安全人员资质认证、人员培训方面开展了大量工作,目前,已授权12家企事业单位开展培训工

作,有600多人先后获得CISP资格的称号。

统计显示,截至2004年12月30日,中国信息安全产品测评认证中心对国内外进行的信息安全产品认证共计300多项;对信息系统的测评认证共计100多项;开展的信息安全专业人员认证共计600多人;对服务厂商的服务资质认证共计60多家。

二、信息安全等级保护

等级保护指信息和信息系统要实行等级保护,并根据业务重要程度和实际的安全需求进行保护。其中包括对相应信息安全产品和安全性进行分级测评认证,对信息安全服务资质、信息安全从业人员进行分级管理,对信息系统中发生的信息安全事件分等级响应处置。等级保护以“对信息安全分等级、按标准进行建设、管理和监督”为核心,通过分级保护、分类指导、分阶段实施、合理的投入等予以实施。

中办发[2003]27号文《国家信息化领导小组关于加强信息安全保障工作的意见》中强调要实行信息安全等级保护制度。最近,由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室四部委联合签发了一个关于信息安全等级保护工作的实施意见,又再次强调实行信息安全等级保护制度的重要性。

等级保护的必要性主要体现在两个方面:其一,对信息安全分级保护是客观需求。信息系统的建立目标是满足社会发展、社会生活的需要,是社会构成、行政组织体系及其业务体系的反映,这种体系在客观上需要分层次和分级别。其二,等级化保护符合信息安全发展规律。按组织结构和业务分布,分层、分类、分级进行保护和管理,分阶段推进等级保护建设,是做好国家信息安全保障工作必须遵循的客观规律。

在国家有关的宣传中,用了7个“有利于”来重点阐述等级保护的重要性:实行信息安全产品与系统、服务的等级保护,有利于建立长效机制,保证信息安全工作稳固、持久地进行;有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于突出重点,加强对涉及国家安全、经济命脉、社会为拟定的基础信息网络和重要信息系统的安全保护和管理监督;有利于明确国家、企业、个人的安全责任,强化政府监督职能,共同落实各项安全

建设和安全管理措施;有利于提高安全保护的科学性、针对性,推动网络安全服务机制的建立和完善;有利于采取系统、规范、经济有效、科学的管理和技术保障措施,提高整体安全技术和管理水平,保障信息系统安全正常运行;有利于信息安全保障技术和产业化的发展,真正做到“兴利除弊”,维护国家安全和社会公共利益,保护公民合法权益的信息网络安全总目标。

中办发[2003] 27号文提出了“积极防御,综合防范”的八字方针,这表明了目前我国信息安全保障工作的重点是在“防护”方面。等级保护主要是“保护”再加上“等级评定”。在等级保护里面,除了保护以外,还要加上等级的评定,从而使定级更加科学、保护更加有针对性。在等级保护的具体措施上包括以下几个步骤:首先,对信息安全等级制定相应的保护制度,从政策的层面、法律法规的层面制定措施;其次,对等级保护制定相应的标准,等级保护有自主保护、指导保护、监督保护、强制保护、专控保护等五种保护,是一种行政意义上的保护,但实际上,具体保护的强度和级别却需要靠客观的技术和标准来测评,因此,制定等级保护的技术标准是基础;另外,信息安全产品和信息系统的分级认证是科学定级的技术手段,技术认证和用户与官方的认可制度是信息系统等级保护持续性的保证。

说到技术标准,国内外专家有不同的看法,我认为,我们的技术标准应该是客观的。技术标准就像量身高的尺子一样,不会随着人的高矮而改变;也像小时、分、秒等计量单位一样,不会随着时间的变化而改变其计量的长度,多少年都不会发生变化。一个系统需要采用什么等级来保护,可以由领导来决定,但它的保护强度,是否达到相应的安全具体级别,则需要靠技术来测评。所以我们讲,制定等级保护的技术标准是基础。行政性的、或根据实际需要采取的保护等级如何与技术标准相对应,是需要我们研究的重点内容。当然,我们现有的一些技术标准,并不都是基础性标准,也需要与时俱进,作必要的修订。对基础性技术标准的制定和修定,应该是一件很严肃的工作。这是我们对技术标准的理解,也是对等级保护对应关系的一种理解。

三、信息安全分级测评认证

为什么要进行信息安全分级测评与认证?首先,这是为等级保护提供技术手段,落实国家等级保护政策的有效体现;其次是为保护用户的利益。分级测评认

证为政府提供信息技术安全产品、服务的采购依据,为各行业用户提供安全信心的保证;第三是为保护厂家的利益。通过信息安全分级测评认证,提升厂家的信息安全科研生产水平,使产品的研制和生产过程逐步走向规范化和标准化。 国际上信息安全分级测评认证标准的发展大致经历了以下过程:1985年美国国防部颁布了可信计算机的安全评估准则(TCSEC);在此基础上,1990年欧洲和加拿大分别制定了信息技术安全性评价准则(ITSEC)和可信计算机产品评价准则(CTCPEC);1991年美国制定联邦政府评价准则(FC);1995年,在前期的国际信息安全分级测评认证标准的基础上,由六国七方开始制定国际通用准则(CC),1999年CC成为国际标准(ISO/IEC 15408)。

信息安全等级保护需要对产品、系统、服务和人员等方面进行科学的级别评定。对信息安全分等级进行保护是测评认证工作的共同宗旨和方式。综观国际,各国都非常重视信息安全分级测评认证工作,美国1985年开始依据TCSEC评估,已进行20年的信息安全分级测评认证,其国家信息安全分级认证由国家安全局与国家标准研究所联合实施;在测评认证方法上,早期为TCSEC,现在为CC和CEM;目前与国际上十几个国家互认的级别达到四级;英国1991年开始依据ITSEC评估与认证,从1999年ISO/IEC 15408正式发布起,同时开始依据CC评估与认证。经过10多年的发展,信息安全分级测评认证工作已趋成熟。德国、法国、澳大利亚、加拿大、荷兰等国家也先后建立起国家信息安全测评认证体系,而且一开始就采用了分级认证;芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国家和日本、韩国等亚洲国家纷纷仿效,积极开展信息安全测评认证工作。 从认证模式看,目前国际上通行的认证模式有8种:第一种是型式检验,以来样为主;第二种是型式试验+认证后监督——市场抽样检验;第三种是型式检验+认证后监督——工厂抽样检验;第四种是型式检验+认证后监督——市场和工厂抽样检验;第五是型式检验+工厂质量体系评定+认证后监督——质量体系复查+工厂和市场抽样检验;第六种是评定供方的质量体系;第七种是批量试验;第八种是全数试验。我国通常开展的是第五种形式,型式的检验+工厂检验评定+政府监督+质量体系复查+工厂质量抽样检验等。认证的流程主要有准备、测评、认证决定、证书的监督和维持四个阶段。

目前,我们把信息安全产品的测评认证分为7个级,并分别对应CC评估标准的

7个级别(EAL1——EAL7)。评估保证级1(EAL1)——功能测试;EAL2——结构测试;EAL3——系统地测试和检查;EAL4——系统地设计;EAL5——半形式化设计和测试;EAL6——半形式化验证的设计和测试;EAL7——形式化验证的设计和测试。在这7个级别中,获证的级别越高,其安全性和可信性就越高,产品就可对抗来自越高程度的威胁,同时也适用更高级别的风险环境。目前我们中心开展了EAL1——EAL5级别的认证工作,第五级目前只针对SIM卡、IC卡这样的产品,而1——4级可以对一般的网络安全产品进行认证。

由于在对信息安全产品高级别第7级的认证中,每一行代码都要求有形式化论证,要求撇开它们的属性、使用功能和用户的背景,从数学上来证明其安全性,这样做非常困难,代价也很高。因此,目前在全世界范围内,最高已做到EAL5级——半形式化测评认证。EAL5级以上的就做得非常的少了。

分级测评认证工作是一项技术强度高、程序严谨的工作。以下以网络安全产品4级认证为例作一介绍。

一个网络产品要进行EAL4级认证,需要经过准备、正式测评和认证三个阶段。

在准备阶段,首先需要提交包括安全目标、功能规范、TOE安全策略模型、高层设计等多达13、14种的材料;然后对这些提交的材料、产品文档等以文档形式化审查和技术审查、现场考察等形式进行预评估,根据预评估结果了解相关证据、生产流程、安全功能、安全保证措施以及相关文档规范是否能达到相应级别的安全要求。并提供必要的技术指导和交流、调整或改进的建议,以保证TOE达到受理要求,开展后续评估工作。

完成预评估后召开项目启动会议,这同时标志着正式测评工作的开始。项目启动会议确定双方参与人员及联系方式。然后开始进行ST评估、TOE评估及现场核查,同时对产品的生命周期支持、配置管理、交付和运行文档、指导性文档、脆弱性分析文档等进行一系列的测试和评估。在由测评中心按照国际标准的规范文本格式撰写的安全目标文档中,不仅要对申请的文档进行评估,提供必要技术指导和交流、根据具体的情况作具体的建议。还要对产品的安全技术要求、产品的具体实现、针对现实的威胁的具体设计、安全功能对威胁的解决等都一一注明,阐释清楚。测评人员还通过对产品状况、配置管理和交付开发环境的现场核查,

了解其生产过程是否满足相应安全和管理的要求。

当整个测评过程完成以后,测评中心根据安全产品所达到的安全级别测评结果和厂商提出的申请,对符合要求的信息安全产品进行EAL4级的认证,并颁发认证证书。

四、分级测评认证是大势所趋

在信息技术飞速发展的21世纪,保障国家信息安全,对信息安全产品、系统、服务等进行分级测评认证已成为大势所趋。第一,它是国家的总体要求,是有关政策的要求。根据国家相关部委文件的要求,2005年开始贯彻落实等级保护政策。第二,它是现实的需求。信息安全等级保护需要不同安全级别的产品、系统、服务资质和人力资源。一个系统是否安全,它离不开里面的IT产品的安全性和安全产品,它们的安全性如何,需要在分级评估的基础上,才能对系统的安全性作出适当的判定。第三,它有相应的推动因素,近期国家相关8部委签发了国认证联[2004]57号文件,其中提到信息安全产品将逐步实行3C认证(中国强制认证),同时要求通过强制认证的产品纳入国家的采购范围。政府优先采购通过认证的高级别的安全产品,将进一步加强国家的信息安全保障工作。第四,它是用户的需求。用户要选择通过认证的产品,尤其要选择高级别的产品,用户包括各个部委和行业的用户,他们在信息安全保障工作中间对信息安全产品、安全服务提供提出了分级的要求,并且要选用相应级别的产品和服务。案例显示,联通公司2004年发了一个招标通知,其中有一条说明是:应标的SIM卡厂商,若获得中国信息安全产品测评认证中心4级认证证书的厂商可加6分,在评标满分为100分的情况下,6分是不容轻视的,很多厂商正是由于没有这个证书,而失去了竞争机会。由此足以看出分级认证证书,尤其是高级证书的含金量。此外,我国信息安全分级测评认证的相关技术、标准、方法和程序已日趋成熟,能够为开展这项工作提供高质量、高效率的服务。

毫无疑问,在信息技术突飞猛进的今天,信息安全已成为国家安全的重要内容之一,正是基于对国家安全和国家建设的重要意义,信息安全等级保护与分级认证正日益受到各国政府的重视。在国际上,分级测评认证已成为一种必然趋势。美国、英国、法国等西方发达国家在信息安全测评认证方面都广泛采用分级认证的标准。以美国为例,从2002年7月起,它的政府和军队采购就已经规定必须

优先选用通过CC认证的产品。在我国,全国信息安全保障工作会议的召开、中办发[2003]27号文的发布、由四部委牵头的联合发文以及近日国家认证认可监督管理委员会牵头制定的国认证联[2004]57号文等规定的颁布,这一系列重大举措均体现出我国政府对于新时期实施信息安全等级保护与分级认证工作的高度重视,相信我国的信息安全等级保护与分级认证工作将在中央领导的高度重视和全社会的推动、支持下越做越好。

范文八:中国信息安全认证中心 投稿:徐逮逯

中国信息安全认证中心

《安全集成工程师》认证培训班招生简章

中国信息安全认证中心(China Information Security Certification Center,英文缩写:ISCCC)是经中央编制委员会批准成立,由原国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权,依据国家有关强制性产品认证、信息安全管理的法律法规,负责实施信息安全认证(产品认证、服务资质认证和ISMS、ITSM认证)的专门机构。中国信息安全认证中心是经国家批准的ISMS审核员、信息安全产品认证工厂检查员、信息安全服务资质认证评审员、信息安全技术培训的专业培训机构。

四川省计算机信息系统集成行业协会(英文名称是SICHUAN Computer Information System Integration Association,缩写为SCISIA)是由工业和信息化部领导、四川省经济和信息化委员会主管、经四川省民政厅批准,主要由信息产品制造业、软件业、信息服务业及从事计算机信息系统集成的企事业单位组成的跨部门、跨地区的全省性计算机信息系统集成行业性社团组织。作为政府与企事业单位的纽带和桥梁,四川省计算机信息系统集成行业协会致力于推动四川地区的信息化建设和发展。

为切实做好国家信息安全保障人才队伍建设,中国信息安全认证中心授权四川省计算机系统集成行业协会作为《安全集成工程师》的全国培训中心,负责组织《安全集成工程师》人才培训工作。中国信息安全认证中心组织考试并监考。考试通过,且符合中国信息安全保障从业人员认证要求者,由中国信息安全认证中心发给统一的中国信息安全保障从业人员认证证书。并为培养安全集成从业方向的专业技术人才和组织下一阶段的信息安全服务资质认证工作奠定坚实的基础。

鉴于此:中国信息安全认证中心、四川省计算机信息系统行业协会共同决定首期在成都举办《安全集成工程师》人才培训班,由专业从事IT信息技术咨询

1

服务的四川亚和企业咨询管理有限公司具体承办。 一、主办单位:中国信息安全认证中心

二、协办单位:四川省计算机信息系统集成行业协会 三、承办单位:四川亚和企业咨询管理有限公司 四、培训时间地点

详见中国信息安全认证中心网站>中心业务>信息安全培训>通知公告中相关内容。 五、培训对象

IT领域从事技术设计、开发、集成、服务、管理等技术人员。面向全国招生。

六、培训内容

按照中国信息安全认证中心《安全集成工程师》考试大纲要求,对《安全集成工程师》培训教材进行系统讲解,让学员有针对性的掌握《安全集成工程师》需要具备的各大知识域,了解其中重点和难点。为信息安全服务资质培养专业技术人才。

培训内容总体纲要如下: 1.认证知识介绍;

2.职业道德与信息安全教育; 3.密码学基础及应用案例分析; 4.OSI安全体系架构及应用案例分析; 5.主机安全技术及应用案例分析; 6.网络安全技术及应用案例分析; 7.应用系统安全;

8.安全集成工程管理及相关标准; 9.《安全集成工程师》认证考试。 七、培训学费:

4600元人民币/人,(包含培训、资格考试、考试教材、考试大纲、资料、午餐费等)需要住宿的学员请提前通知培训班主任(卿老师:13689064238),食宿协助安排,费用自理。

2

八、相关证书:

经中国信息安全认证中心考试合格,且符合中国信息安全保障从业人员认证要求者,将获得中国信息安全认证中心统一颁发《中国信息安全保障从业人员认证—安全集成工程师方向认证证书》。该证书在全国范围有效。 九、联系方式:

报名时间:详见中国信息安全认证中心网站>中心业务>信息安全培训>通知公告中相关内容。 成都报名地点:

1.四川省计算机信息系统集成行业协会(成都市桂王桥西街66号北楼606室) 电 话:028-68192988、68192966 传 真:028-68192989 何老师:13258374959 邮 件:HXL0876@126.COM

2.四川亚和企业咨询管理有限公司(一环路东一段159号电子科技大学国家大学科技园信息产业大厦1310)

电 话:028-83201992 传 真:028-83201992 张老师:13408594220 卿老师:13689064238 邮 件:mertre@163.com 北京报名地点:

中国信息安全认证中心(北京市朝阳区外大街甲10号中认大厦) 电 话:010-65994348 传 真:010-65994283 徐老师:15010190279 邮 件:xur@isccc.gov.cn

网址:www.isccc.gov.cn(培训信息查询)

中国信息安全认证中心

3

附件1:

中国信息安全保障从业人员认证培训、注册申请表

4

5

注: 报名回执每人一份。报名方式说明如下: 1.

报名可直接到招生简章指定报名点报名,准备三张本人二寸彩色证件相片。

2. 报名也可通过招生简章指定邮箱报名,请随回执并提交480*640的

数码登记照。培训报到时,补交三张本人二寸彩色证件相片。

6

范文九:信息安全从身份认证开始 投稿:雷壼壽

智能设备的广泛使用,让攻击点变得更加广泛。在万物互联的趋势下,信息安全威胁显得尤为严重。要在这样的趋势下实现设备和数据的安全,身份认证是尤为重要的一环。如何确保所有的设备都能进行融合的认证管理,HID Global公司高管进行了解释。

  在移动互联网和物联网进入大发展时期的当下,人们已经意识到,越来越多的设备变得智能、可以接入网络,将给人类社会的信息安全体系带来严重威胁。

  智能设备的广泛使用,让攻击点变得更加广泛,给了攻击者更多的可乘之机。对于用户而言,如何确保自己的设备不被恶意控制,保障自己的信息和应用安全,成为不可避免的话题。

  在移动互联网和物联网上旷日持久的攻防战中,身份认证是一个桥头堡。如果没有强壮的身份认证机制,如果攻击者可以轻松绕过身份认证机制进行操作,比如对受害者的账户进行转账,比如通过受害者的移动设备下载公司的机密资料……就会让用户在享受移动互联所带来的生活和工作便利的同时,产生不小的安全隐忧。

  验证的五个层面

  HID Global公司大中华区营销总监赵建邦认为,身份认证是非常重要的一个环节。以银行业为例,用户在进行账户操作时系统就需要进行多个层面的认证,才能保证用户的信息和资金安全。“HID Global的ActivID身份验证产品就为普及实现可信网上交易的真正多因子验证提供五个关键层面验证。”赵建邦指出,这五个层面的验证包括:用户验证、设备验证、渠道验证、交易验证和应用验证。

  放弃简单的密码而使用强大的用户验证是网上银行安全的基础。赵建邦指出,最佳验证用户方法是双因子身份验证,即至少集成以下方法中的两种:用户所知的东西(如ID或静态密码),用户拥有的东西(如移动设备、USB Key或OTP动态密码),用户所具备的特征(如生物识别或行为识别特征)。

  一旦确定了用户的身份,验证用户是否正在使用“已知”的设备非常重要。具有代理检测和地理定位等要素的复杂设备识别被认为更安全。

  对于验证渠道,必须包括预防性网页恶意程序控件(如实时的恶意程序检测、主动强化的浏览器等)。而使用带外数据(Out Of Band,OOB)验证是验证交易的有效方式之一。

  此外,验证应用对于手机银行业务尤为重要。该层保护移动设备上用于提供敏感信息的应用。该应用必须在结构上获得强化,并且能够使用最终用户的凭证卡执行双重身份验证。添加该层可实现端到端的保护,使网络罪犯的犯罪活动更加困难,成本更加高昂。

  此外,ActivID欺诈检测服务的另外一大重要特点便是对用户完全透明。受保护应用程序不需要下载任何的插件、不改变用户现有的登录习惯,ActivID欺诈检测服务默默地保护用户的安全,且适用于包括平板、手机等在内的计算机平台,也适用于这些平台的一系列浏览器。同时ActivID欺诈检测也兼容现在的动态令牌、USB-Key和卡终端等,并支持云端服务保证黑客名单实时更新。总体来说,HID Global通过多层策略体现了强大的身份认证。

  “该分层方法使金融机构能够以方便、递增的方式增加对网上欺诈的防护,从而安全地访问网上服务和云应用。HID Global通过集成式身份验证平台提供统一的方法,这样组织可以轻松地管理众多用户和不同设备的凭证卡,同时提供始终如一并且便利的保护,从而抵御金融机构在全球范围内面临的最新欺诈问题。”赵建邦表示,分层战略可以提高安全性,同时确保银行根据特定的威胁级别和客户的偏好,使用风险适当的解决方案。此外,使用支持多种渠道和多种用户群体的公共平台也会降低分层网上银行安全解决方案的总体拥有成本。

  不仅用于金融行业

  事实上,不仅是手机银行的身份验证,也不仅是在金融行业,HID Global一直在致力于构建融合的安全身份解决方案,可以实现用户在门禁、桌面登录、支付等多个领域的身份统一认证。赵建邦指出,HID Global融合安全身份解决方案以Seos技术为基础。“不管是软件还是硬件,都可以支持Seos。Seos技术允许其他技术使用相同的语言进行交流,同时防止各个平台之间交流的信息遭到未经授权的窃取。它具有灵活、可移植、安全、私密、可适应性和可行性等特点。”赵建邦说。

  据了解,由Seos提供支持的HID Global iCLASS SE平台基于OSDP双向通信等行业标准,采用动态技术取代静态技术,可确保安防功能不受硬件和介质的影响,并确保基础架构更容易在现有功能基础上进一步发展,从而能够适应和应对不断变化的威胁。

  iCLASS SE平台还通过双重身份验证和带密钥的密码保护机制增强安全性,并且使用安全消息传送协议,该协议在由互操作产品组成的安防生态系统内的可信通信平台上实现。此外,Seos技术能够将任何使用无线技术(如NFC或蓝牙)的智能设备变成可信的凭证卡。因此,智能手机现在可以接收数字证卡和密钥,并且将证卡和密钥“出示”给iCLASS SE读卡器,该智能手机还可以产生一次性动态密码(OTP),用于安全地登录至另一台移动设备或台式电脑,用于访问网络或云应用和Web应用。

  融合的安全身份管理

  通过Seos解决方案,用户完全可以把手机这样的智能设备作为身份认证工具,用手机开门,进入授权区域,再获得授权登录计算机工作站,签署和加密电子邮件和文档……以前在科幻电影中常见的场景慢慢变成了现实。这一切都可以使用HID Global融合的身份认证解决方案来完成。将更多的设备纳入到身份认证体系中来,进行更加广泛的融合安全身份管理,HID Global的解决方案在未来的物联网时代更加具有想象空间,也更加能够解决物联网时代人们面临的日益严重的安全威胁挑战。

  “我相信,物联网的普及应用将推动NFC等新一代安全身份管理技术的应用。我们可以通过将物品贴上NFC/RFID标签来确定其独特的身份,从而可以在日后通过非接触读卡器或任何NFC智能电话或平板电脑来方便地验证,从而为用户提供物联网时代的验证和安全保障。”赵建邦告诉记者。

范文十:做信息安全身份认证专家 投稿:陶剜剝

如今,信息安全已经成为国家建设“网络强国”的重中之重。

  国际上,网络与信息技术不断演进,以云计算、大数据、移动互联网为主导的新技术在推动产业发展的同时,也带来了更多新的挑战,信息安全更成为各国相互搏弈的重要阵地。

  成长于信息安全身份认证领域的众人科技,在国内外大环境的激发下,正努力打造成为中国信息安全领域的标杆企业。

  回顾历史,众人科技走过一段风雨兼程的路。

  2007年9月,众人科技成立。主要从事拥有完全自主知识产权的iKEY身份认证系统及系列产品的研发、生产和销售。

  众人科技创业之初,创始人谈剑峰就满怀激情与希望,励志在中国信息安全行业打下一片江山:研发有完全自主知识产权的身份认证技术和产品,与当时充斥中国市场的国外信息安全身份认证产品抗衡,保护国家信息安全。确定了产品方向,众人科技在这个当时国内尚处于空白的细分领域开始了艰难的探索。

  众人科技从成立伊始就确立了自主研发、设计、生产的国产化道路,以完全的自主可控作为追求,目的就是为国家和大众的信息安全把好核心的那一道“门”,由此而带来的是漫长且枯燥的技术攻关和资格认证过程。

  整整4年时间,众人科技团队全身心投入技术研发、打磨产品,并通过了国家相关机构、专家对动态密码技术的论证、检测、认定,在2009年初,众人科技率先拿到了国家密码主管部门颁发的动态口令类产品资质企业许可证,其研发的iKEY身份认证产品被中国科学院科技查新中心评定为“填补国内空白,国际先进水平”。

  经过不断拼搏、奋斗,众人科技越过了一道一道的坎――资金、人员、资质、技术。终于,众人科技拥有了从密码专用安全芯片、终端产品到后台系统的全产业链自主知识产权,并自主设计了国内领先的具有世界领先水平的密码令牌全自动柔性生产线;还作为组长单位参与制定了国家密码行业标准GM/T 0021-2012《动态口令密码应用技术规范》,作为国家密码主管部门密码检测标准制密项目组组长单位,组织编写“动态口令密码检测”的相关规范;同时参与制定动态口令产品行业标准、身份认证技术相关标准。

  2011年,众人科技更是被工业和信息化主管部门从百家企业中遴选为基于安全可控软硬件产品云计算解决方案供应商;2014年,众人科技成为了上海市“专精特新”企业及推进“新技术、新产业、新模式、新业态”的“四新”企业;值中国互联网接入20周年之际,众人科技更荣获了“中国互联网20周年・技术创新贡献殊荣”,成为“SHCERT网络安全应急服务支撑单位”及上海市信息安全服务推荐单位。

  在飞速发展的七年时间里,众人科技成为了中国中小企业协会副会长单位、中国互联网金融工作委员会副主任委员单位、中国软件行业协会网游信息安全工作委员会主任单位、中国信息协会常务理事、上海现代服务业联合会会员、上海市计算机行业协会副会长单位、上海市信息服务业行业协会副会长单位、上海市信息安全行业协会副会长单位等。

  也正是在这七年里,移动互联网以及互联网金融迅速崛起。来自银行的数据显示,目前建设银行和工商银行的手机银行客户总数已经超过1亿户,交行、农行、中行的客户数也超过了5000万户。其中,部分银行的手机端客户数量目前已然接近了其传统电脑端网银客户的数量。中国互联网络信息中心的报告显示,2014年6月我国手机网民规模已达5.27亿,中国手机端网民规模首次超过了PC端,这为银行手机端的金融服务奠定了良好的市场基础,也为各银行转向手机端带来了足够大的动力。

  在互联网金融行业大环境的影响下,众人科技自主研发了一系列适于金融业发展的动态密码产品。

  在竞争激烈的互联网环境里,众人科技深知创新和产品质量决定一切。

  iKEY身份认证系统是由众人科技自主研发的基于时间同步技术的多因素认证系统,是一种安全便捷、稳定可靠的身份认证系统。其强大的用户认证机制替代了传统的基本口令安全机制,消除了因口令欺诈而导致的损失,防止恶意入侵者对资源的破坏,解决了因口令泄密导致的入侵问题,有效提高了身份认证的安全性和便捷性。其硬件产品线包括isKEY动态密码令牌系列。isCARD动态密码智能卡系列、isMemory 动态密码SD卡系列及手机令牌等,均采用国家密码主管单位指定的国密算法。

  众人科技在此基础上进一步开发的智慧城市公共区域安全网络系统,以动态密码的核心技术为基础,用云计算搭建统一身份认证云平台,快速、有效地解决了公共区域网络的安全认证问题。其通过各类认证技术和安全机制的结合,可提高公共区域网络的身份认证的安全性,最终提高用户使用的便捷性和满意度。同时以其强大的用户认证机制以及安全监管功能,有助于规范国家公共网络管理系统,在大数据时代为国家信息安全保驾护航。

  作为一家飞速发展的信息安全企业,众人科技在金融领域有着丰富的服务经验与优良的解决方案,在金融行业以外领域,也正在逐渐建立自己的品牌口碑。众人科技以动态密码技术为核心,总结多年发展经验,以市场为导向,逐步研发了如网络的4A审计系统、基于IBC标识密码的加密邮件系统、针对APT攻击的多维度网络威胁预警系统等多结构、多类型的产品,拓宽了国内信息安全产业市场,在国家智慧城市建设等领域走得更远。

  随着移动互联网、大数据的迅速崛起,移动支付迅猛发展。尤其在金融领域,电子银行,手机支付的发展超出了人们的想象。

  电子银行与移动支付的兴起也带来了信息安全方面的难题:金融业务面临网络攻击、病毒侵扰、非法窃取账户信息、客户信息泄漏等新的信息安全问题。众人科技自主研发的iKEY多因素动态密码产品广泛应用于国内金融领域,有着良好的口碑,并在金融领域有着众多优秀的解决方案。在电子银行、证券等领域,众人科技金融类解决方案已形成成熟的体系,服务于广大客户。

  众人科技的技术和产品已广泛应用于政府、军队、金融、电信等涉及国家和民众网络信息安全的重要领域,已成功签约项目如:国家开发银行、中国进出口银行、中国银联、工商银行、农业银行、民生银行、海通证券、东方证券、西南证券、中国电信、中国石油、CCTV、人民网、搜狐畅游、完美时空等近百个项目。我国正进入信息安全建设的重点时期,众人科技将紧紧把握机会,以实际行动积极推动国内信息安全行业的发展。

字典词典高中学业水平考试试题高中学业水平考试试题【范文精选】高中学业水平考试试题【专家解析】新年演讲稿新年演讲稿【范文精选】新年演讲稿【专家解析】电脑标点符号大全电脑标点符号大全【范文精选】电脑标点符号大全【专家解析】